: | : |
‹ | › | |||||
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
2017-11-13 16:53:18 8370 0
Добавление CentOs 7 в домен Windows
В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.
Отключаем SELINUX
sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config
Установка iptables
systemctl stop firewalld
systemctl disable firewalld
yum install -y iptables-services
После установки запускаем iptables
systemctl start iptables
systemctl enable iptables
Устанавливаем необходимые пакеты:
yum install -y authconfig samba samba-winbind samba-client \
pam_krb5 krb5-workstation vim net-tools bind-utils samba-winbind-clients
Настройка DNS
Указываем в качестве DNS сервера наш контроллер домена
cat /etc/resolv.conf
# Generated by NetworkManager search test.un nameserver 172.20.1.56
Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена
Проверяем что имя домена резолвится
nslookup test.un
Получаем следующее:
Server: 172.20.1.56 Address: 172.20.1.56#53 Name: test.un Address: 172.20.1.56
Присоединение сервера к домену
Запускаем утилиту authconfig-tui

Указываем:
Информация пользователя - Использовать Winbind
Аутентификация - Использовать Kerberos
Жмем далее

Заполняем следующие поля:
- Область - область kerberos, совпадает с именем домена в верхнем регистре;
- KDC(Key Distribution Center ) - kerberos сервер, выступает как сервер по управлению и хранению билетов;
- Сервер администратор - совпадает с KDC;
- Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.
Жмем далее

Заполняем следующие поля:
- Модель защиты - выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
- Домен - вводим NetBios имя домена, без конечно части;
- Контроллеры домена - указываем адреса контроллеров домена;
- Область ADS - совпадает с именем домена;
- Оболочка шаблона - указывает какую оболочку будут иметь доменные пользователи на linux машине.
Жмем ОК
Запускаем демон Winbind
systemctl start winbind
systemctl enable winbind
Далее производим присоединение к домену
net ads join -U Administrator
Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:
Using short domain name -- TEST Joined "CENTOS7-TEST" to dns domain "test.un" No DNS domain configured for centos7-test. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER
Машина в домене

Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки
winbind enum users = yes winbind enum groups = yes
Для проверки можно использовать утилиту wbinfo и getent
wbinfo -u
Покажет пользователей домена:
TEST\administrator TEST\guest TEST\krbtgt TEST\test1 TEST\test2
wbinfo -g
Покажет группы домена:
TEST\winrmremotewmiusers__ TEST\domain computers TEST\domain controllers TEST\schema admins TEST\enterprise admins TEST\cert publishers TEST\domain admins TEST\domain users TEST\domain guests TEST\group policy creator owners TEST\ras and ias servers TEST\allowed rodc password replication group TEST\denied rodc password replication group TEST\read-only domain controllers TEST\enterprise read-only domain controllers TEST\cloneable domain controllers TEST\protected users TEST\dnsadmins TEST\dnsupdateproxy TEST\samba
Команда "getent passwd" и "getent group" отобразит локальные учетные записи + доменные и точно так же группы соответственно
getent passwd
.... test:x:1000:1000:test:/home/test:/bin/bash TEST\administrator:*:16777216:16777218::/home/TEST/administrator:/bin/bash TEST\guest:*:16777217:16777218::/home/TEST/guest:/bin/bash TEST\krbtgt:*:16777218:16777218::/home/TEST/krbtgt:/bin/bash TEST\test1:*:16777219:16777218::/home/TEST/test1:/bin/bash TEST\test2:*:16777220:16777218::/home/TEST/test2:/bin/bash
Для использования доменных учетных записей необходимо сделать следующее:
-
Изменить значение директивы "winbind use default domain" в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.
[root@centos7-test test]# su test1 bash-4.2$ id uid=16777219(test1) gid=16777218(domain users) группы=16777218(domain users),16777217(BUILTIN\users)
- Добавить директиву "winbind separator" в файл /etc/samba/smb.conf
winbind separator = ^
Что указывает символ отделения имени домена от имени пользователя.
Введите ответ:
+
=